Кибербезопасность - Джек Домет

Пример показывает, что люди стремятся хорошо выполнить свою работу, даже если при этом нарушают требования безопасности. Девушка не осознавала, что ставит под угрозу данные пациентов. Она просто не нашла другого решения проблемы.

Фишинг, бессмысленный и беспощадный

Люди часто открывают вложения в электронных письмах и кликают по ссылкам, что приводит к установке шпионских программ. Хакеры стали куда умнее: они нередко используют в рассылках информацию, почерпнутую из социальных и профессиональных сетей, а потому отличить фишинговые письма от обычных все труднее. Хотя несколько нигерийских принцев все еще жаждут вручить вам миллионы долларов, их сообщения постепенно вытесняются другими, гораздо более убедительными.

Калифорнийский университет в Беркли собирает базу данных о фишинговых атаках и пополняет ее образцами таких посланий. Нашлось даже поддельное письмо от HR-отдела самого университета (рисунок 1) [2 - Berkeley Information Security Office, “Phishing Example: Message from Human Resources, ” https: //security. berkeley. edu/news/phishing-example-message-human-resources (https: //security. berkeley. edu/news/phishing-example-message-human-resources). ].

Рисунок 1. Пример фишинговой атаки

От: < HR@berkeley. edu> < HR@berkeley. edu>

Subject: Message from human resources

Дата: 13 апреля 2017 Время: 21: 29: 54

Кому: XXXXX@berkeley. edu

Уважаемый XXXXX@berkeley. edu

Информационное письмо направлено HR-отделом.

Пройдите по этой ссылке, чтобы авторизоваться и просмотреть документ. Спасибо!

Калифорнийский университет в Беркли, HR-отдел.

© 2017. Попечительский совет Калифорнийского университета. Все права защищены.

__________

Уведомление о конфиденциальности: это сообщение и все вложенные файлы могут содержать охраняемую законом конфиденциальную информацию, предназначенную исключительно для использования физическими и юридическими лицами, которым оно адресовано. Если вы не относитесь к числу предполагаемых получателей, пожалуйста, удалите сообщение со всеми вложениями. Дальнейшее использование, копирование, раскрытие информации и ее распространение, а также ссылки на содержание письма и вложенных файлов строго запрещены.

Письмо кажется настоящим. Просьба авторизоваться для просмотра документа не вызывает подозрений: это стандартная практика для многих организаций, особенно при работе с конфиденциальной информацией. Отдел IT-безопасности университета Беркли в данном случае порекомендовал проверять достоверность ссылки, прежде чем переходить по ней. Наведите на нее курсор, и внизу экрана появится адрес веб-сайта. Затем нужно убедиться, что ссылка действительно ведет на страницу HR-отдела, а не на ресурс мошенников.

Такой совет одобрило бы большинство экспертов по кибербезопасности, но есть два нюанса. Во-первых, просмотр рабочих писем – рутина, с которой часто хочется покончить побыстрее. Многие решат, что наведение курсора на ссылку, изучение и проверка веб-адреса займут слишком много времени. Во-вторых, далеко не каждый рядовой пользователь сумеет проверить достоверность веб-адреса. Компания не может вменять это сотрудникам в обязанность.

Обучение основам безопасности

Это распространенный способ снизить риски фишинговых атак и внедрения вредоносного ПО в корпоративные компьютерные сети. Однако даже сотрудники компаний, специализирующихся на кибербезопасности, не могут похвастаться блестящими результатами подобных тренингов. Компания Intel Security (в прошлом McAfee) протестировала 19 000 человек в 140 странах, и только 3 % из них выявили все фишинговые имейлы в выборке из десяти сообщений, а 80 % не нашли ни одного [3 - Tom Reeve, “Even Security Experts Fail to Spot Phishing Emails, Finds Report, ” SC Media, May 19, 2015, https: //www. scmagazineuk. com/even-securityexperts-fail-to-spot-phishing-emails-finds-report/article/537183/ (https: //www. scmagazineuk. com/even-securityexperts-fail-to-spot-phishing-emails-finds-report/article/537183/). ]. Никакое обучение основам безопасности не решит эту проблему: достаточно одному сотруднику кликнуть на вредоносную ссылку или зараженное вложение, чтобы фишинговая атака достигла своей цели.

Отстрел на подлете

Еще один инструмент борьбы с фишингом – современные технологии, предназначенные для выявления вредоносного ПО заранее, на этапе установки. Но как гарантированно поймать всех воров и шпионов? Первоначально здесь помогало составление списка сигнатур, то есть своего рода отпечатков пальцев известных образцов вредоносных программ, и их сравнение. Новая программа не прошла проверку на «отпечатки пальцев»? Система безопасности блокирует запуск. Продвинутые антивирусы принимают во внимание также дополнительные характеристики, в том числе поведение потенциально вредоносного ПО. Однако проблема остается, и разработчики антивирусов пытаются своевременно обновлять свои продукты, не отставая от ухищрений хакеров.

В конце 2017 года компания Malwarebytes, специализирующаяся на антивирусном ПО, проанализировала уровень кибербезопасности почти на 10 млн компьютеров. Выяснилось, что даже самые совершенные антивирусы не смогли выявить почти 60 % участвовавших в эксперименте вредоносных программ [4 - Steve Ragan, “Malwarebytes Is Tracking Missed Detections in Traditional Antivirus, ” CSO, November 7, 2017, https: //www. csoonline. com/article/3236254/security/malwarebytes-tracking-missed-detections-in-traditional-anti-virus. html (https: //www. csoonline. com/article/3236254/security/malwarebytes-tracking-missed-detections-in-traditional-anti-virus. html). ].

Ранее, в 2013 году, корпоративная сеть New York Times была взломана с целью раскрыть источники информации [5 - Gerry Smith, “Why Antivirus Software Didn’t Save the New York Times from Hackers, ” Huffington Post, January 31, 2013, https: //www. huffingtonpost. com/2013/01/31/antivirus-software-hackers_n_2589538. html (https: //www. huffingtonpost. com/2013/01/31/antivirus-software-hackers_n_2589538. html). ]. Ее атаковали сорока пятью вредоносными программами. Антивирусы выявили лишь одну из них.

Вернемся далеко в прошлое – к заре сферы кибербезопасности. Следует отметить, что основатель индустрии антивирусных программ уже тогда понимал: их возможности не безграничны. За два года после того, как в 1986 году был создан первый вирус, на бурно развивавшемся рынке антивирусного ПО появилось без малого сорок игроков [6 - “Happy Birthday Brain, the World’s First PC Virus, ” Computer Active 388 (2013): 9. ]. Видя, как они множатся, разработчик первого коммерчески успешного антивируса Джон Макафи подсчитал, что «около 75 % продуктов, предлагающихся на рынке, не эффективны, поскольку не способны ни защитить компьютер от значительной части вирусов, ни даже выявить их» [7 - Inventors and Inventions, vol. 4 (Tarrytown, NY: Marshall Cavendish, 2007), 1033; Laura DiDio, “Antivirus Vendors Form Industry Regulation Group, ” Network World 5, no. 28 (1988): 17. ]. Он публично выражал обеспокоенность из-за того, что «недостаток понимания со стороны пользователей привел к распространению недостоверной информации, излишне эмоциональной реакции и мошенничеству» [8 - DiDio, “Antivirus Vendors. ”]. В 2018 году в мире было продано антивирусного ПО больше чем на $15 млрд. Ожидается дальнейший рост на уровне 10 % в год [9 - MarketsandMarkets, “Endpoint Security Market Worth 17. 38 Billion USD by 2020, ” press release, accessed May 19, 2018, https: //www. marketsandmarkets. com/PressReleases/endpoint-security. asp (https: //www. marketsandmarkets. com/PressReleases/endpoint-security. asp); Technavio, “Global Antivirus Software Package Market 2016–2020, ” accessed May 19, 2018, https: //www. technavio. com/report/global-enterprise-application-global-antivirussoftware-package-market-2016–2020 (https: //www. technavio. com/report/global-enterprise-application-global-antivirussoftware-package-market-2016%E2%80%932020). ].

В борьбе с фишингом и прочими киберугрозами хорошо зарекомендовало себя одно технологическое решение. Оно эффективно тем, что освобождает рядовых сотрудников от лишней ответственности (например, переходить ли по ссылке, открывать файл или нет). «Белый список приложений» формируется по принципу: если программа не будет запущена на компьютере, то не сможет причинить никакого вреда. Это немного напоминает список гостей – практику, применяющуюся для ограничения доступа в клубы, на вечеринки и закрытые мероприятия. Вместо того чтобы оценивать каждую программу с точки зрения вредоносности, «белый список» разрешает установку только проверенного ПО, запуск которого точно не нанесет ущерба. В таких условиях не имеет значения, по каким ссылкам переходят пользователи и какие вложения они открывают. Если вредоносной программы нет в «списке гостей», она останется «за порогом».